SWIFT CUSTOMER SECURITY PROGRAMME - tacticaledge.co CSP.pdf · 2018 SWIFT CUSTOMER SECURITY...

2018SWIFT CUSTOMER

SECURITY

PROGRAMME

_____________________________

Mg. Ing. Mateo Martínez

KRAV MAGA HACKING+1 (217) 636 4450

[email protected]

www.kravmagahacking.com


Mateo Martinez

Máster en Seguridad Informática. Ingeniero en Sistemas computacionales. Cuenta con experiencia profesional como consultor, auditor,

pentester, responsable de seguridad informática y como gerente de seguridad de la Información en reconocidas empresas internacionales.

Cuenta con las certificaciones internacionales CISSP (Certified Information Systems Security Professional) de (ISC)2, C|EH (Certified Ethical

Hacker) de EC-Council, ISO 27001 Lead Implementer de PECB, ISO 27032 Lead Cybersecurity Manager e ITIL. Ha realizado la especialización en

respuesta ante Incidentes en la Universidad de León en colaboración con OEA e INCIBE y ha completado el certificado ejecutivo en Estrategia y

Liderazgo en Ciberseguridad en Florida International Unversity. Es Docente de las materias “Hacking Ético y Respuesta ante Incidentes” y

“Seguridad en el Desarrollo de Aplicaciones” de Universidad ORT del Uruguay desde el año 2014.

2

Mateo Martínez

www.kravmagahacking.com 3

SWIFT CSP


SWIFT CSP

Fuente: https://www.swift.com/myswift/customer-security-programme-csp

Pronósticos 2018__________________________________

Un breve resumen de las regulaciones

y de los riesgos que enfrentamos en

este año 2018.


Cumplimiento

● Cambios 2018 en Cumplimiento


Pronósticos

● Migración en el comportamiento del Ransomware

● El Usuario como vector de incidentes

○ OSINT altamente automatizado. Alto uso de información de Redes sociales.

● Continuamos con creciente complejidad de ataques

○ Disponibles para cualquiera. Ataques incorporando Machine Learning

○ IoT e Infraestructuras Críticas, crecientes objetivos

● Estrategias DevOps empujan la necesidad de DevSecOps


Políticas


Latinoamérica

Estrategias de Ciberseguridad

• Colombia (2011 y 2016)

• Panamá (2013)

• Paraguay (2017)

• Chile (2017)

• Costa Rica (2017)

• México (2017)


Latinoamérica

SWIFT CUSTOMER SECURITY PROGRAMME (CSP)

___________________________________

Tiene como objetivo mejorar el

intercambio de información en toda la red,

mejorar las herramientas relacionadas

con SWIFT y proporcionar un marco de

control de seguridad https://www.swift.com/myswift/customer-security-programme-csp


SWIFT CSP

Fuente: https://www.swift.com/myswift/customer-security-programme-csp

Reporte de autocumplimiento

• 89% respondieron

• 99% de todos los mensajes

• 11.000 instituciones

• 200 países


SWIFT CSP

Objetivos

• Asegurar el ambiente

• Conocer y limitar accesos

• Detección y respuesta

3

Objetivos

8

Principios

27

Controles


Mapping


Controles

3 Objetivos

16 controles obligatorios

11 controles recomendados

“Plan de Respuesta a

Incidentes”


Controles


Controles2.4 A Seguridad en el Flujo de Datos

de Back Office

Asegurar la confidencialidad, integridad y mutua autenticidad del flujo de datos entre las

aplicaciones de back office (o middleware) y los componentes de SWIFT.

2.5 A Protección de Datos en

Comunicaciones Externas

Proteger la confidencialidad de los datos relacionados a SWIFT transmitidos y almacenados

fuera de la zona segura.

2.6 A Confidencialidad e Integridad

de la Sesión del Operador

Proteger la confidencialidad e integridad de las sesiones interactivas de operadores

conectados a la infraestructura local SWIFT.

2.7 A Escaneo de VulnerabilidadesIdentificar vulnerabilidades conocidas dentro del ambiente SWIFT implementar procesos de

escaneos de vulnerabilidades regularmente.

2.8 A Tercerización de Actividades

Críticas

Asegurar la protección de la infraestructura SWIFT local de riesgos debidos a la tercerización

de actividades críticas.

2.9 A Controles de Negocio en las

Transacciones

Restringir la actividad de transacciones a contrapartes validadas y aprobadas y dentro de

los límites de la operativa habitual del negocio.

5.3 A Proceso de Background Check

de Personal

Asegure la confiabilidad del personal que opera el entorno local de SWIFT realizando una

verificación de personal.

5.4 A Almacenamiento físico y lógico

de contraseñasProtege las contraseñas registradas física y lógicamente.

6.5 A Detección de Intrusos Detectar y prevenir actividades de red anómalas hacia y dentro del ambiente SWIFT.

7.3 A Penetration TestingValidar las configuraciones de seguridad operacionales e identificar brechas de seguridad a

través de la realización de pentration tests.

7.4 A Análisis de Riesgos de

Ciberseguridad a través de EscenariosEvaluar riesgos y preparación de la organización frente a escenarios de ciberataques.

5. Gestión de Identidades y Segregación de funciones (y privilegios)

6. Detectar Actividad Anómala en sistemas o transacciones

7. Plan de Respuesta a Incidentes y Compartir información

Además, SWIFT provee 11 controles recomendados (para consideración):

Controles recomendados

2. Reducir superficie de Ataque y Vulnerabilidades

11 controles recomendados

“Análisis de riesgos de

ciberseguridad a través de

escenarios”

Puntos a Considerar_______________________________

Existen ciertas consideraciones que es

importante considerar para el cumplimiento a

partir de 2018.


Fechas

Rol de los Equiposde Respuesta ante Incidentes de Seguridad___________________________________

Los equipos de respuesta

especializados cumplen un rol

fundamental en el proceso de defensa

activa y deben ser motivadores de

cambio.


Implementación

Obtener apoyo de la alta dirección y determinar el plan estratégico delCSIRT

Comunicar la visión del CSIRT y el Plan Operacional.

Recolectar Información relevante y Diseñar la vision delCSIRT. Comprender capacidades actuales

01

02

03

05

04

Iniciar la implementación del CSIRT y anunciar la operación del CSIRT.

Evaluar la efectividaddel CSIRT


Implementación

• Analizar motivadores y requerimientos para la creación del CSIRT• Seleccionar el modelo de CSIRT más adecuado• Definición de servicios• Definición e implementación de procesos• Análisis de clientes y planes de comunicación con terceros• Análisis FODA y PEST• Definir la estructura necesaria• Acompañar en la selección de personal• Definir herramientas tecnológicas• Desarrollo de políticas del CSIRT• Búsqueda de cooperación con otros CSIRTS• Creación de código de conducta y de ética• Creación de checklist para el CSIRT


Servicios

Servicios Core

• Gestión de alertas e incidentes

• Servicio 911 de respuesta a incidentes (en vivo)

• Coordinación de incidentes con terceros

• Análisis forense digital

• Gestión de vulnerabilidades y parches críticos de seguridad

• Ethical Hacking interno

• Innovación y desarrollo

• Monitoreo de sistemas críticos

• Gestión y comunicación de crisis

• Guías y auditorías de configuraciones de seguridad

• Entrenamientos y capacitación

Planificar,Preparar yCapacitar

Operación y

Mejoras

Pruebas y

simulacros


Servicios Planificar,Preparar yCapacitar

Operación y

Mejoras

Pruebas y

simulacros

Servicios de Colaboración

• Difusión de alertas de seguridad del mercado

• Acuerdos de colaboración con terceros

• Compartir información anónima de amenazas

• Generar lecciones aprendidas

• Monitoreo de Reputación


NIST SP800-61 Planificar,Preparar yCapacitar

Fuente: NIST Computer Security Incident Handling Guide


- Disponer de una coordinación centralizada

- Reaccionar a los incidentes relacionados con las TI

- Contar con conocimientos técnicos necesarios

- Tratar las cuestiones jurídicas y proteger evidencias

- Realizar un seguimiento de los progresos conseguidos

- Fomentar la cooperación en la seguridad de las TI

- Desarrollar investigación e innovación

28

Ventajas

Mitigación_______________________________

La mayor inversión en la capacidad de

respuesta ante incidentes de

ciberseguridad no radica solo en preparar

la contención y respuesta sino también

prevenir y prepararse.


TOP 10 (Mitigar 90% de Ataques):

• Listas Blancas de Aplicaciones.

• Gestión de Parches y vulnerabilidades en sistemas operativos y aplicaciones.

• Control de Integridad y control de cambios

• Minimizar permisos administrativos (a usuarios y administradores).

• Segmentación de la red.

• Control de dispositivos.

• Control de fuga de datos.

• Análisis de tráfico y Control de DDoS.

• Control de anomalías en estaciones de trabajo.

• Seguridad en el Desarrollo de Software

Prevenir

Conclusiones_______________________________

Un breve repaso de lo conversado,

conclusiones y algunas

recomendaciones prácticas


• No esperar a diciembre 2018 para responder al SWIFT CSP

• Trabajar en programas de respuesta ante incidentes

• Realizar simulacros de incidentes de ciberseguridad

• Incorporar aspectos de ciberseguridad en análisis de riesgos

• Incorporar aspectos de mitigación del Top 10 mencionado

• Buscar Integración entre ISO 27001, ISO 27002, ISO 27032, PCI-DSS, ISO

31000, ISO 27005, regulaciones y normativas locales para la mejora de la

seguridad de su organización.

32

Conclusiones

Muchas gracias.

_______________________________

Mg. Ing. Mateo Martínez

KRAV MAGA HACKING+1 (217) 636 4450

[email protected]


SWIFT CUSTOMER SECURITY PROGRAMME - tacticaledge.co CSP.pdf · 2018 SWIFT CUSTOMER SECURITY...

Documents

Transcript of SWIFT CUSTOMER SECURITY PROGRAMME - tacticaledge.co CSP.pdf · 2018 SWIFT CUSTOMER SECURITY...